dm752v10-5 control de acceso - upm...router teldat – control de acceso configuración ii - 4...

Router Teldat Control de Acceso

Doc. DM752 Rev. 10.50 Abril, 2005

- ii -

ÍNDICE

Capítulo 1 Introducción ....................................................................................................1 1. Listas de Control de Acceso ................................ ................................ ............................... 2

Capítulo 2 Configuración..................................................................................................3 1. Introducción................................ ................................ ................................ ........................ 4 2. Acceso a configuración ................................ ................................ ................................ ......5 3. Menú principal de configuración................................ ................................ ........................ 6

3.1. ? (AYUDA)................................ ................................ ................................ ............. 7 3.2. ACCESS-LIST ................................ ................................ ................................ ........7 3.3. LIST ................................ ................................ ................................ ........................ 7

a) LIST ALL-ACCESS-LISTS................................ ................................ ....................... 7 b) LIST STANDARD-ACCESS-LISTS................................ ................................ .......... 8 c) LIST EXTENDED-ACCESS-LISTS ................................ ................................ .........8

3.4. NO................................ ................................ ................................ ........................... 8 a) NO ACCESS-LIST................................ ................................ ................................ ...9

3.5. EXIT ................................ ................................ ................................ ....................... 9 4. Listas de Acceso Genéricas ................................ ................................ ................................ 10

4.1. ? (AYUDA)................................ ................................ ................................ ............. 10 4.2. ENTRY ................................ ................................ ................................ ................... 10

a) ENTRY <id> DEFAULT................................ ................................ ......................... 11 b) ENTRY <id> PERMIT ................................ ................................ ............................ 11 c) ENTRY <id> DENY ................................ ................................ ................................ 11 d) ENTRY <id> SOURCE ................................ ................................ ........................... 12

• ENTRY <id> SOURCE ADDRESS................................ ................................ .12 e) ENTRY <id> DESCRIPTION ................................ ................................ ................. 12

4.3. LIST ................................ ................................ ................................ ........................ 12 a) LIST ALL-ENTRIES ................................ ................................ ................................ 13 b) LIST ADDRESS-FILTER-ENTRIES................................ ................................ ........13 c) LIST ENTRY................................ ................................ ................................ ............ 13

4.4. MOVE-ENTRY ................................ ................................ ................................ ......14 4.5. DESCRIPTION................................ ................................ ................................ .......14 4.6. NO................................ ................................ ................................ ........................... 14

a) NO ENTRY ................................ ................................ ................................ .............. 15 4.7. EXIT ................................ ................................ ................................ ....................... 15

5. Listas de Acceso Extendidas ................................ ................................ .............................. 16 5.1. ? (AYUDA)................................ ................................ ................................ ............. 16 5.2. ENTRY ................................ ................................ ................................ ................... 16

a) ENTRY <id> DEFAULT................................ ................................ ......................... 17 b) ENTRY <id> PERMIT ................................ ................................ ............................ 17 c) ENTRY <id> DENY ................................ ................................ ................................ 17 d) ENTRY <id> SOURCE ................................ ................................ ........................... 18

• ENTRY <id> SOURCE ADDRESS................................ ................................ .18 • ENTRY <id> SOURCE PORT-RANGE................................ .......................... 18

e) ENTRY <id> DESTINATION ................................ ................................ ................. 19 • ENTRY <id> DESTINATION ADDRESS................................ ...................... 19 • ENTRY <id> DESTINATION PORT-RANGE................................ ............... 19

f) ENTRY <id> PROTOCOL................................ ................................ ...................... 20 g) ENTRY <id> PROTOCOL-RANGE................................ ................................ ........20 h) ENTRY <id> DSCP ................................ ................................ ................................ 20 i) ENTRY <id> CONNECTION ................................ ................................ ................. 20 j) ENTRY <id> DESCRIPTION ................................ ................................ ................. 21

- iii -

5.3. LIST ................................ ................................ ................................ ........................ 21 a) LIST ALL-ENTRIES ................................ ................................ ................................ 21 b) LIST ADDRESS-FILTER-ENTRIES................................ ................................ ........22 c) LIST ENTRY................................ ................................ ................................ ............ 22

5.4. MOVE-ENTRY ................................ ................................ ................................ ......22 5.5. DESCRIPTION................................ ................................ ................................ .......23 5.6. NO................................ ................................ ................................ ........................... 23

a) NO ENTRY ................................ ................................ ................................ .............. 23 5.7. EXIT ................................ ................................ ................................ ....................... 24

6. Show Config................................ ................................ ................................ ....................... 25 7. Ejemplo práctico................................ ................................ ................................ ................. 26

• Creación de las listas de control de acceso ................................ ....................... 26 • Asociación de Lista de acceso a Protocolo IPSec ................................ ............. 27

Capítulo 3 Monitorización ................................................................................................29 1. Comandos de Monitorización................................ ................................ ............................. 30

1.1. ? (AYUDA)................................ ................................ ................................ ............. 30 1.2. LIST ................................ ................................ ................................ ........................ 31

a) LIST ALL ................................ ................................ ................................ ................. 31 • LIST ALL ALL-ACCESS-LISTS ................................ ................................ ....31 • LIST ALL ADDRESS-FILTER-ACCESS-LISTS ................................ ........... 32 • LIST ALL ACCESS-LIST ................................ ................................ ............... 33

b) LIST CACHE................................ ................................ ................................ ........... 33 • LIST CACHE ALL-ACCESS-LISTS................................ ............................... 33 • LIST CACHE ADDRESS-FILTER-ACCESS-LISTS................................ ......34 • LIST CACHE ACCESS-LIST................................ ................................ .......... 34

c) LIST ENTRIES ................................ ................................ ................................ ........35 • LIST ENTRIES ALL-ACCESS-LISTS................................ ............................ 35 • LIST ENTRIES ADDRESS-FILTER-ACCESS-LISTS................................ ...36 • LIST ENTRIES ACCESS-LIST................................ ................................ .......36

1.3. CLEAR-CACHE ................................ ................................ ................................ .....37 1.4. SET-CACHE-SIZE ................................ ................................ ................................ .37 1.5. SHOW-HANDLES ................................ ................................ ................................ .37 1.6. HIDE-HANDLES ................................ ................................ ................................ ...37

Capítulo 4 Anexo ...............................................................................................................38 1. Puerto Reservados ................................ ................................ ................................ .............. 39 2. Protocolos Reservados ................................ ................................ ................................ .......40

Capítulo 1 Introducción

ROUTER TELDAT – Listas de Control de acceso

I - 2 Doc.DM752

Rev.10.50

1. Listas de Control de Acceso

Los routers se sirven de listas de control de acceso (ACL) para identificar el tráfico que pasa por ellos. Las listas de acceso pueden filtrar el flujo de paquetes que pasa por los interfaces del router. Una lista de acceso IP es un listado secuencial de condiciones de permiso o prohibición que se aplican a direcciones IP origen o destino, puertos origen o destino, o a protocolos IP de capa superior tales como IP, TCP. Pueden separar el tráfico en diferentes colas según sea su prioridad. Tipos de listas de acceso:

Estándar(1-99): comprueban las direcciones de origen de los paquetes que solicitan enrutamiento. Extendidas(100-199): comprueban tanto la dirección de origen como la de destino de cada paquete, también pueden verificar protocolos específicos, números de puertos y otros parámetros.

Las listas de acceso se pueden aplicar tanto de entrada (evita la sobrecarga de router), como de salida. Una lista de control de acceso por sí misma no supone un filtro para limitar el flujo de paquetes en el router. Las Listas de Control de Acceso deben estar asociadas necesariamente a un protocolo. El protocolo que utiliza una Lista de Control de Acceso, la utiliza como una herramienta que le permite establecer filtros de tráfico. Los protocolos que permiten el manejo de Listas de Control de Acceso incorporan comandos que permiten asociar el protocolo a dichas Listas. Los protocolos típicos que manejan Listas de Control de Acceso son, entre otros: BRS, IPSec, Policy Routing, RIP. Las Listas de Control de Acceso indican al protocolo asociado el resultado de la búsqueda dentro de las entradas. El resultado de la búsqueda a la recepción de un paquete puede ser: Es el protocolo asociado el que determina lo debe hacer con el paquete IP, a tenor del resu ltado de la aplicación de la Lista de Acceso.

Paquete IP

Encontrado

No Encontrado

Permitir

Denegar

No Encontrado

Lista de Acceso

Capítulo 2 Configuración

ROUTER TELDAT – Control de acceso Configuración

II - 4 Doc.DM752

Rev.10.50

1. Introducción

Cada entrada de esta lista es un bloque de sentencias y una acción, y está identificada por un único número (el identificador o campo ID de la entrada). El bloque de sentencias esta compuesto por una dirección IP origen (o rango de direcciones), una dirección IP destino (o rango de direcciones IP destino), un protocolo (o rango de protocolos), puertos origen y destino (o rango de puertos), y el identificador de la conexión entre interfaces por los que viajaría el paquete. No es necesario especificarlos todos, tan sólo el que se desee. La acción representa el procesamiento asignado a los paquetes coincidentes con el bloque de sentencias asociado: PERMIT o DENY. Una lista de control de acceso genérica y extendida está formada por una serie de entradas que definen las propiedades que debe tener un paquete para que se considere que perteneciente a esa entrada y por consiguiente a esa lista. Después, esa lista de control de acceso genérica se asigna a un protocolo.

Una Lista de Control de Acceso por sí misma no supone un filtro para limitar el flujo de paquetes en el router. Las Listas de Control de Acceso deben estar asociadas necesariamente a un protocolo.

Las Listas de Control de Acceso indican al protocolo asociado el resultado de la búsqueda dentro de las entradas. El resultado de la búsqueda puede tener los siguientes valores: No encontrado, Permitir o Denegar. El protocolo asociado determina qué hacer con el paquete ante el resultado devuelto por la Lista de Control de Acceso.

Lista 1

Entrada 1

Acción Sentencia A Sentencia B | Sentencia Z

Entrada 2


Entrada n



II - 5 Doc.DM752

Rev.10.50

2. Acceso a configuración

Las operaciones de crear, modificar o eliminar listas de acceso se hace desde un menú especifico, en el cual a demás se permite visualizar las listas creadas. En la estructura de configuración del router, los Controles de Acceso, están organizados como una funcionalidad (FEATURE). Para visualizar las funcionalidades que permite configurar el router, se debe introducir el comando feature seguido de una signo de interrogación (?). Ejemplo:

Config>feature ? access-lists Access generic access lists configuration environment bandwidth-reservation Bandwidth-Reservation configuration environment control-access Control-access configuration environment dns DNS configuration environment frame-relay-switch Frame Relay Switch configuration environment ip-discovery TIDP configuration environment ldap LDAP configuration environment mac-filtering Mac-filtering configuration environment nsla Network Service Level Advisor configuration nsm Network Service Monitor configuration environment ntp NTP configuration environment radius RADIUS protocol configuration environment route-map Route-map configuration environment sniffer Sniffer configuration environment syslog Syslog configuration environment vlan IEEE 802.1Q switch configuration environment wrr-backup-wan WRR configuration environment wrs-backup-wan WRS configuration environment Config>

Para acceder al menú de configuración de Controles de Acceso se debe introducir, desde el menú raíz de configuración (PROCESS 4), la palabra feature, seguida de access-list. Ejemplo:

Config>feature access-lists -- Access Lists user configuration -- Access Lists config>

Con esto se accede al menú principal de configuración de la funcionalidad de Controles de Acceso. En este menú se permite crear, eliminar y visualizar las lista de acceso. Cada lista de control de acceso está formada por entradas, en la que se indica el criterio y los parámetros que permiten o limitan el acceso. Existen dos tipos de listas de control de acceso: Genéricas y Extendidas. En las listas Genéricas se utilizan muy pocos parámetros para definir las características de cada entrada de Control de Acceso. Por el contrario, las listas Extendidas permiten definir un mayor número de parámetros de selección. Dentro del menú principal de Listas de Acceso existen dos submenús, uno para cada tipo de lista. El acceso a cada submenú se produce en el momento de editar una lista concreta, dependiendo que el tipo seleccionado sea Extendida o Genérica.


II - 6 Doc.DM752

Rev.10.50

3. Menú principal de configuración

Dentro de menú principal de configuración de Control de Acceso se permite crear y eliminar listas. También se permite visualizar la configuración de las las listas creadas. Una Lista de Acceso consta de una serie de entradas. Cada entrada de esta lista es un bloque de sentencias y una acción. Cada entrada está identificada por un único número (el identificador o campo ID de la entrada). El bloque de sentencias puede estar compuesto por una dirección IP origen (o rango de direcciones), una dirección IP destino (o rango de direcciones IP destino), un protocolo (o rango de protocolos), puertos origen y destino (o rango de puertos), y el identificador de la conexión entre interfaces por los que viajaría el paquete. La acción determina el criterio que se aplica a los paquetes IP que cumplen con la condición indicada por las sentencias. La acción puede ser de dos tipos: incluyente (permit) o excluyente(deny). El router permite configurar 199 listas de acceso. Las listas de acceso cuyo identificador tenga un valor entre 1 y 99 serán Listas de Acceso Genéricas. Las listas de acceso cuyo identificador tenga un valor entre 100 y 199 serán Listas de Acceso Extendidas. Por defecto las 199 Listas de Acceso están vacías. Una lista de acceso está vacía cuando no contiene entradas. Dependiendo del tipo de lista creada (Genérica/Extendida), la configuración de las entradas a cada lista se hace dentro de un submenú propio de cada una de ellas, que tendrá los mismos parámetros para todas las que son del mismo tipo. La descripción del modo de configuración de los parámetros de estos submenús se indica en los apartados siguientes a este. Si alguno de los parámetros u opciones de las entradas de las Listas de Control de Acceso no se configura, no será tenido en cuenta a la hora de realizar la comprobación de acceso.

El orden de las entradas en la Lista de Control de Acceso es muy importante en casos, en los cuales, la información referenciada por las sentencias, se solape entre diferentes entradas.

Se debe tener presente que el orden de tratamiento de las entradas de una lista no viene definido por el número del identificador de la entrada, sino por el orden en que se introducen. Este orden se puede visualizar utilizando el comando “list ”. El orden se puede modificar utilizando el comando “ move-entry “. Es decir, si al recorrer la lista, empezando por el primer elemento o entrada que aparece al listar, se encuentra un elemento que encaja en nuestra búsqueda, no se sigue buscando y se aplica la acción indicada en dicho elemento.

Dentro del menú principal de Control de Acceso se dispone de los siguientes comandos: Comando Función ? (AYUDA) Lista los comandos u opciones disponibles. access-list Configura una lista de acceso. list Muestra la configuración de las listas de acceso. no Niega un comando o pone su valor por defecto.


II - 7 Doc.DM752

Rev.10.50

3.1. ? (AYUDA)

Este comando se utiliza para listar los comandos válidos en el nivel donde se está programando el router. Se puede también utilizar este comando después de un comando específico para listar las opciones disponibles. Sintaxis:

Access Lists config>?

Ejemplo: Access Lists config>? access-list Configure an access-list list Display access-lists configuration no Negates a command or sets its defaults exit Access Lists config>

3.2. ACCESS-LIST

Este comando provoca el acceso al submenú que permite configurar entradas en una lista de acceso. Las Listas de Acceso se identifican por un valor numérico que puede tomar valore entre 1 y 199.Por lo tanto, el router permite configurar 199 Listas de Acceso. Las listas de acceso cuyo identificador tiene un valor entre 1 y 99 son Listas de Acceso Genéricas. Las listas de acceso cuyo identificador tiene un valor entre 100 y 199 son Listas de Acceso Extendidas. El submenú de configuración de Listas de Acceso Extendidas permite configurar mayor número de parámetros de selección. Cuando se introduce este comando seguido de un identificador, se pasa al submenú que permite configurar la Lista de Acceso para dicho identificador, apareciendo en el nuevo prompt el tipo de Lista de Acceso y su identificador. Sintaxis:

Access Lists config>access-list ? <1..99> Standard Access List number (1-99) <100..199> Extended Access List number (100-199)

Ejemplo: Access Lists config>access-list 101 Extended Access List 101>

3.3. LIST

El comando LIST muestra la información de configuración de la facilidad Listas de Control de Acceso. Sintaxis:

Access Lists config>list ? all-access-lists Display all access-lists configuration standard-access-lists Display standard access-lists configuration extended-access-lists Display extended access-lists configuration

a) LIST ALL-ACCESS-LISTS

Muestra TODA la información de configuración Listas de Control de Acceso.


II - 8 Doc.DM752

Rev.10.50

Sintaxis: Access Lists config>list all-access-lists

Ejemplo: Access Lists config>list all-access-lists Standard Access List 1, assigned to no protocol 1 PERMIT SRC=192.60.1.24/32 2 PERMIT SRC=0.0.0.0/0 Extended Access List 100, assigned to no protocol 1 PERMIT SRC=172.34.53.23/32 DES=0.0.0.0/0 Conn:0 PROT=10-255 2 DENY SRC=0.0.0.0/0 DES=0.0.0.0/0 Conn:0 Access Lists config>

b) LIST STANDARD-ACCESS-LISTS

Muestra las Listas de Control de Acceso de tipo General configuradas. Sintaxis:

Access Lists config>list standard-access-lists

Ejemplo: Access Lists config>list standard-access-lists Standard Access List 1, assigned to no protocol 1 PERMIT SRC=192.60.1.24/32 2 PERMIT SRC=0.0.0.0/0 Access Lists config>

c) LIST EXTENDED-ACCESS-LISTS

Muestra las Listas de Control de Acceso de tipo Extendido configuradas. Sintaxis:

Access Lists config>list extended-access-lists

Ejemplo: Access Lists config>list extended-access-lists Extended Access List 100, assigned to no protocol 1 PERMIT SRC=172.34.53.23/32 DES=0.0.0.0/0 Conn:0 PROT=10-255 2 DENY SRC=0.0.0.0/0 DES=0.0.0.0/0 Conn:0 Access Lists config>

3.4. NO

Este comando se utiliza para deshabilitar funcionalidades o para poner valores por defectos en algunos parámetros.


II - 9 Doc.DM752

Rev.10.50

Sintaxis: Access Lists config>no ? access-list Configure an access-list

a) NO ACCESS-LIST

Elimina el contenido de una Lista de Control de Acceso. Sintaxis:

Access Lists config>no access-list <ID> Ejemplo:

Access Lists config>no access-list 100 Access Lists config>

3.5. EXIT

Sale del entorno de configuración de la facilidad de Controles de Acceso. Retorna al prompt de configuración general. Sintaxis:

Access Lists config>exit Ejemplo:

Access Lists config>exit Config>


II - 10 Doc.DM752

Rev.10.50

4. Listas de Acceso Genéricas

A este menú se accede cuando se edita una Lista de Control de Acceso cuyo identificador está entre el valor 1 y 99, es decir se trata de una Lista Genérica. En el prompt del nuevo submenú se indica que la lista es de tipo Genérica (Standard) y su Identificador. Ejemplo:

Access Lists config>access-list 1 Standard Access List 1>

El submenú de Listas de control de acceso Genéricas admite los siguientes subcomandos: Comando Función ? (AYUDA) Lista los comandos u opciones disponibles. entry Configura una entrada dentro de una Lista de Control de

Acceso. list Muestra la configuración de las listas de acceso. move-entry Cambiar el orden de las entradas. description Permite insertar una descripción textual de una Lista de

Control de Acceso. no Niega un comando o pone su valor por defecto.

4.1. ? (AYUDA)


Standard Access List #>?

Ejemplo: Standard Access List 1>? entry Configure an entry for this access-list list Display this access-list configuration move-entry move an entry within an access-list description Configure a description for this access-list no Negates a command or sets its defaults exit Standard Access List 1>

4.2. ENTRY

Permite crear y modificar una entrada o elemento dentro de una Lista de Control de Acceso.


II - 11 Doc.DM752

Rev.10.50

Este comando se debe introducir siempre seguido del identificador del número de registro y de una sentencia. Se crea una nueva entrada cada vez que se introduce este comando, seguido de un identificador que no está en la lista. Cuando se introduce un identificador que ya existe, se modifica el valor del parámetro introducido. Sintaxis:

Standard Access List #>entry <id> <sentencia> [valor] Las opciones de configuración de una entrada Global son las siguientes:

Standard Access List #>entry <id> ? default Sets default values to an existing or a new entry permit Configures type of entry or access control as permit deny Configures type of entry or access control as deny source Source menu: subnet or port description Sets a description for the current entry

a) ENTRY <id> DEFAULT

Pone todos los parámetros de una entrada de tipo General a sus valores por defecto. Estos son:

• PERMITIDO • ADDRESS: 0.0.0.0/0

Sintaxis: Standard Access List #>entry <id> default

Ejemplo: Standard Access List 1>entry 3 default Standard Access List 1>

b) ENTRY <id> PERMIT

Identifica la entrada como tipo PERMITIDO. Este parámetro indica que todo el tráfico que cumpla con los parámetros de selección del registro podrá pasar a través del Control de Acceso. Este comando es un indicador de acción, y por tanto determina la función de las sentencias de la entrada (incluyente/excluyente). Sintaxis:

Standard Access List #>entry <id> permit Ejemplo:

Standard Access List 1>entry 3 permit Standard Access List 1>

c) ENTRY <id> DENY

Identifica la entrada como tipo NO PERMITIDO. Este parámetro indica que todo el tráfico que cumpla con los parámetros de selección del registro NO podrá pasar a través del Contro l de Acceso. Este comando es un indicador de acción, y por tanto determina la función de las sentencias de la entrada. Sintaxis:

Standard Access List #>entry <id> deny Ejemplo:

Standard Access List 1>entry 3 deny Standard Access List 1>


II - 12 Doc.DM752

Rev.10.50

d) ENTRY <id> SOURCE

Establece la sentencia de parámetros IP en el direccionamiento ‘origen’ de los mensajes. Sintaxis:

Standard Access List #>entry <id> source <parámetro> [opciones] Las opciones que se pueden introducir en la sentencia origen de IP son las siguientes:

Standard Access List #>entry <id> source ? address IP address and mask of the source subnet

• ENTRY <id> SOURCE ADDRESS

Establece la sentencia de dirección IP ‘origen’. El rango de direcciones elegido se indica en forma de mascara de subred. Esta dirección puede ser no numerada, es decir, se puede poner una dirección asociada a un interfaz y que es desconocida en el momento de configurar el equipo, porque, por ejemplo, será asignada por algún otro mecanismo, como pudiera ser PPP. En el caso de configurar una dirección IP se debe introducir la dirección IP y su máscara de subred, en el caso de configurar un Interfaz se debe introducir el nombre de éste. Sintaxis: a) Dirección IP

Standard Access List #>entry <id> source address <dirección> <máscara> b) Interfaz

Standard Access List #>entry <id> source address <interfaz> Ejemplo: a) Dirección IP

Standard Access List 1>entry 3 source address 192.168.4.5 255.255.255.255 Standard Access List 1>

b) Interfaz Standard Access List 1>entry 3 source address serial0/0 Standard Access List 1>

e) ENTRY <id> DESCRIPTION

Permite establecer una descripción textual que nos permita más tarde entender mejor la finalidad o uso de la entrada. Sintaxis:

Standard Access List 1>entry <id> description ? <1..64 chars> Description text

Ejemplo: Standard Access List 1>entry 1 description “primera entrada” Standard Access List 1>

4.3. LIST

El comando LIST muestra la información de configuración de la Listas de Control de Acceso que está siendo editada, es decir, la que su identificador está indicado en el prompt del menú.


II - 13 Doc.DM752

Rev.10.50

Sintaxis: Standard Access List #>list ? all-entries Display any entry of this access-list address-filter-entries Display the entries that match an ip address entry Display one entry of this access-list

a) LIST ALL-ENTRIES

Muestra todas las entradas de configuración de la Listas de Control de Acceso, es decir, toda la configuración de la misma. Sintaxis:

Standard Access List #>list all-entries

Ejemplo: Standard Access List 1>list all-entries Standard Access List 1, assigned to no protocol 1 DESCRIPTION: primera entrada 1 PERMIT SRC=192.60.1.24/32 2 PERMIT SRC=0.0.0.0/0 Standard Access List 1>

b) LIST ADDRESS-FILTER-ENTRIES

Muestra las entradas de configuración de la Listas de Control de Acceso que contienen una determinada dirección IP. Sintaxis:

Standard Access List #>list address-filter-entries <dirección> <subred>

Ejemplo: Standard Access List 1>list address-filter-entries 192.60.1.24 255.255.255.255 Standard Access List 1, assigned to no protocol 1 DESCRIPTION: primera entrada 1 PERMIT SRC=192.60.1.24/32 Standard Access List 1>

c) LIST ENTRY

Muestra una entrada de configuración de la Listas de Control de Acceso, cuyo identificador se indica a continuación del comando. Sintaxis:

Standard Access List #>list entry <id>

Ejemplo: Standard Access List 1>list entry 1 Standard Access List 1, assigned to no protocol 1 DESCRIPTION: primera entrada 1 PERMIT SRC=192.60.1.24/32 Standard Access List 1>


II - 14 Doc.DM752

Rev.10.50

4.4. MOVE-ENTRY

Modifica la prioridad de una entrada. Esta opción permite colocar una entrada determinada delante de otra que se indica, dentro de la Lista de Control de Acceso. El comando se introduce, seguido del identificador de la entrada que se quiere modificar, y a continuación se introduce el identificador de la posición por delante de la cual se desea colocar la entrada. Cuando una entrada se quiere poner al final de lista, es decir, que se la de menor prioridad, se pone un cero (‘0’) como identificador final. Sintaxis:

Standard Access List #>move-entry <entrada_a_mover> <entrada_destino>

Ejemplo: Standard Access List 1>list all-entries

Standard Access List 1, assigned to no protocol 1 DENY SRC=0.0.0.0/0 2 PERMIT SRC=234.233.44.33/32 3 PERMIT SRC=192.23.33.22/32 Standard Access List 1>move-entry 1 0 Standard Access List 1>list all-entries Standard Access List 1, assigned to no protocol 2 PERMIT SRC=234.233.44.33/32 3 PERMIT SRC=192.23.33.22/32 1 DENY SRC=0.0.0.0/0 Standard Access List 1>

4.5. DESCRIPTION

Este comando se utiliza para insertar una descripción textual sobre la lista de acceso, que nos permita más tarde entender mejor su propósito o función. Sintaxis:

Standard Access List #>description ? <1..64 chars> Description text

Ejemplo: Standard Access List 1>description “lista para ipsec” Standard Access List 1>list all Standard Access List 1, assigned to no protocol Description: lista para ipsec 1 DESCRIPTION: primera entrada 1 PERMIT SRC=1.1.1.1/32

4.6. NO

Este comando se utiliza para deshabilitar funcionalidades o para poner valores por defectos en algunos parámetros.


II - 15 Doc.DM752

Rev.10.50

Sintaxis: Standard Access List #>no ? entry Configure an entry for this access-list

a) NO ENTRY

Elimina una entrada de la Lista de Control de Acceso. Se debe introducir el identificador de la lista que se desea eliminar. Sintaxis:

Standard Access List #>no entry <id> Ejemplo:

Standard Access List 1>no entry 3 Standard Access List 1>

4.7. EXIT

Sale del entorno de configuración de una lista de Control de Acceso General. Retorna al prompt del menú principal de Control de Acceso. Sintaxis:

Standard Access List #>exit Ejemplo:

Standard Access List 1>exit Access Lists config>


II - 16 Doc.DM752

Rev.10.50

5. Listas de Acceso Extendidas

A este menú se accede cuando se edita una Lista de Control de Acceso cuyo identificador está entre el valor 100 y 199, es decir se trata de una Lista Extendida. En el prompt del nuevo submenú se indica que la lista es de tipo Extendida (Extended) y su identificador. Ejemplo:

Access Lists config>access-list 100 Extended Access List 100>

El submenú de Listas de Control de Acceso Extendidas admite los siguientes subcomandos: Comando Función ? (AYUDA) Lista los comandos u opciones disponibles. entry Configura una entrada para esta Lista de Acceso. list Muestra la configuración de las listas de acceso. move-entry Cambiar el orden de las entradas. description Permite insertar una descripción textual de una Lista de

Control de Acceso. no Niega un comando o pone su valor por defecto.

5.1. ? (AYUDA)


Extended Access List #>?

Ejemplo: Extended Access List 100>? entry Configure an entry for this access-list list Display this access-list configuration move-entry move an entry within an access-list description Configure a description for this access-list no Negates a command or sets its defaults exit Extended Access List 100>

5.2. ENTRY

Permite crear y modificar una entrada o elemento dentro de una List de Control de Acceso. Este comando se debe introducir siempre seguido del identificador del número de registro de una sentencia.


II - 17 Doc.DM752

Rev.10.50

Se crea una nueva entrada cada vez que se introduce este comando, seguido de un identificador que no está en la lista. Cuando se introduce un identificador que ya existe, se modifica el valor del parámetro introducido. Sintaxis:

Extended Access List #>entry <id> <parámetro> [valor] Las opciones de configuración de una entrada Extendida son las siguientes:

Extended Access List 100>entry 1 ? default Sets default values to an existing or a new entry permit Configures type of entry or access control as permit deny Configures type of entry or access control as deny source Source menu: subnet or port destination Destination menu: subnet or port protocol Protocol protocol-range Protocol range dscp IP type-of-service byte value connection IP connection identifier (rule) description Sets a description for the current entry no Negates a command or sets its defaults

a) ENTRY <id> DEFAULT

Pone todos los parámetros de una entrada de tipo Extendido a sus valores por defecto. Estos son:

• PERMITIDO • SOURCE: 0.0.0.0/0 • DESTINATION 0.0.0.0/0 • NO PROTOCOL-RANGE • NO DSCP • NO CONNECTION

Sintaxis: Extended Access List #>entry <id> default

Ejemplo: Extended Access List 100>entry 3 default Extended Access List 100>

b) ENTRY <id> PERMIT

Identifica la entrada como tipo PERMITIDO. Este parámetro indica que todo el tráfico que cumpla con los parámetros de selección del registro podrá pasar a través del Contro l de Acceso. Este comando es un indicador de acción, y por tanto determina la función de las sentencias de la entrada. Sintaxis:

Extended Access List #>entry <id> permit Ejemplo:

Extended Access List 100>entry 3 permit Extended Access List 100>

c) ENTRY <id> DENY

Identifica la entrada como tipo NO PERMITIDO. Este parámetro indica que todo el tráfico que cumpla con los parámetros de selección del registro NO podrá pasar a través del Control de Acceso. Este comando es un indicador de acción, y por tanto determina la función de las sentencias de la entrada.


II - 18 Doc.DM752

Rev.10.50

Sintaxis: Extended Access List #>entry <id> deny

Ejemplo: Extended Access List 100>entry 3 deny Extended Access List 100>

d) ENTRY <id> SOURCE

Establece la sentencia de parámetros IP en el direccionamiento ‘origen’ de los mensajes. Sintaxis:

Extended Access List #>entry <id> source <parámetro> [opciones] Las opciones que se pueden introducir en la sentencia origen de IP son las siguientes:

Extended Access List #>entry <id> source ? address IP address and mask of the source subnet port-range source port range

• ENTRY <id> SOURCE ADDRESS

Establece la sentencia de dirección IP ‘origen’. El rango de direcciones elegido se indica en forma de mascara de subred. Esta dirección puede ser no numerada, es decir, se puede poner una dirección asociada a un Interfaz, que es desconocida en el momento de configurar el equipo, porque, por ejemplo, será asignada por algún otro mecanismo como pudiera ser PPP. En el caso de configurar una dirección IP se debe introducir la dirección IP y su máscara de subred, en el caso de configurar un Interfaz se debe introducir el nombre de éste. Sintaxis: a) Dirección IP

Extended Access List #>entry <id> source address <dirección> <máscara> b) Interfaz

Extended Access List #>entry <id> source address interface <interfaz> Ejemplo: a) Dirección IP

Extended Access List 100>entry 3 source address 192.168.4.5 255.255.255.255 Extended Access List 100>

b) Interfaz Extended Access List 100>entry 3 source address interface serial0/0 Extended Access List 100>

• ENTRY <id> SOURCE PORT-RANGE

Establece la sentencia para el puerto ‘origen’ del paquete IP. Este comando debe ir seguido de dos números. El primero indica el identificador de puerto en el límite inferior del rango, y el segundo el identificador en el límite superior. En caso de no desear un rango, basta con poner ambos valores iguales. El valor de ambos identificadores de puerto puede tomar valores entre 0 y 65535. Este comando tiene la finalidad de poder permitir o no el acceso a distintos puertos. Sintaxis:

Extended Access List #>entry <id> source port-range <puerto_inf> <puerto_sup>


II - 19 Doc.DM752

Rev.10.50

Ejemplo: Extended Access List 100>entry 3 source port-range 2 4 Extended Access List 100>

e) ENTRY <id> DESTINATION

Establece la sentencia de parámetros IP en el direccionamiento ‘destino’ de los mensajes. Sintaxis:

Extended Access List #>entry <id> destination <parámetro> [opciones] Las opciones que se pueden introducir en la sentencia destino de IP son las siguientes:

Extended Access List #>entry <id> destination ? address IP address and mask of the source subnet port-range source port range

• ENTRY <id> DESTINATION ADDRESS

Establece la sentencia de dirección IP ‘destino’. El rango de direcciones elegido se indica en forma de mascara de subred. Esta dirección puede ser no numerada, es decir, se puede poner una dirección asociada a un Interfaz, que es desconocida en el momento de configurar el equipo, porque, por ejemplo, será asignada por algún otro mecanismo como pudiera ser PPP. En el caso de configurar una dirección IP se debe introducir la dirección IP y su máscara de subred, en el caso de configurar un Interfaz se debe introducir el nombre de éste. Sintaxis: a) Dirección IP

Extended Access List #>entry <id> destination address <dirección> <máscara> b) Interfaz

Extended Access List #>entry <id> destination address interface <interfaz> Ejemplo: a) Dirección IP

Extended Access List 100>entry 3 destination address 192.168.4.5 255.255.255.255 Extended Access List 100>

b) Interfaz Extended Access List 100>entry 3 destination address interface serial0/0 Extended Access List 100>

• ENTRY <id> DESTINATION PORT-RANGE

Establece la sentencia para el puerto ‘destino’ del paquete IP. Este comando debe ir seguido de dos números. El primero indica el identificador de puerto en el límite inferior del rango, y el segundo el identificador en el límite superior. En caso de no desear un rango, basta con poner ambos valores iguales. El valor de ambos identificadores de puerto puede tomar valores entre 0 y 65535. Este comando tiene la finalidad de poder permitir o no el acceso a distintos puertos. Sintaxis:

Extended Access List #>entry <id> destination port-range <puerto_inf> <puerto_sup> Ejemplo:

Extended Access List 100>entry 3 destination port-range 2 4 Extended Access List 100>


II - 20 Doc.DM752

Rev.10.50

f) ENTRY <id> PROTOCOL

Establece la sentencia del protocolo del paquete IP. Este comando debe ir seguido del número de protocolo (un valor entre 0 y 255) o bien del nombre del mismo. Si se especifica protocolo IP se admitirá cualquier protocolo. Este comando tiene la finalidad de poder permitir o no el acceso a distintos protocolos. Sintaxis:

Extended Access List #>entry <id> protocol ? <0..255> An IP protocol number esp Encapsulation Security Payload gre Generic Routing Encapsulation icmp Internet Control Message Protocol igmp Internet Gateway Message Protocol ip Any Internet Protocol ospf OSPF routing protocol pim Protocol Independent Multicast tcp Transmission Control Protocol udp User Datagram Protocol

Ejemplo: Extended Access List 100>entry 3 protocol icmp Extended Access List 100>

g) ENTRY <id> PROTOCOL-RANGE

Establece la sentencia del protocolo o rango de protocolos del paquete IP. Este comando debe ir seguido de dos números. El primero indica el identificador de protocolo en el límite inferior del rango, y el segundo el identificador en el límite superior. En caso de no desear un rango, basta con poner ambos valores iguales. El valor de ambos identificadores de protocolo puede tomar valores entre 0 y 255. Este comando tiene la finalidad de poder permitir o no el acceso a distintos protocolos. Sintaxis:

Extended Access List #>entry <id> protocol-range <prot_inferior> <prot_superior> Ejemplo:

Extended Access List 100>entry 3 protocol-range 21 44 Extended Access List 100>

h) ENTRY <id> DSCP

Establece la sentencia de Control de Acceso en base al valor del byte de Tipo de Servicio del paquete IP. Puede tomar valores entre 0 y 255. Sintaxis:

Extended Access List #>entry <id> dscp <valor> Ejemplo:

Extended Access List 100>entry 3 dscp 12 Extended Access List 100>

i) ENTRY <id> CONNECTION

Permite asociar el identificador de la conexión entre interfaces a una entrada de la Lista de Control de Acceso. Esta conexión identifica la interfaz lógica por la que se enrutaría el paquete; se configura en las reglas de IP. Al establecer esta relación, se puede asociar el tráfico no sólo por la dirección origen, destino, etc, del paquete, sino también por el interfaz concreto de conexión. Dejar la conexión sin especificar, o poner conexión cero, hace que la conexión no se considere este parámetro a la hora de ejecutar el Control de Acceso.


II - 21 Doc.DM752

Rev.10.50

Cuando se lista la entrada, aparecerá una interrogación al lado de la conexión (p. ej, Conn:1?) si ésta no existe. Sintaxis:

Extended Access List #>entry <id> connection <valor> Ejemplo: Suponiendo que exista la siguiente regla definida en IP:

ID Local Address --> Remote Address Timeout Firewall NAPT 1 172.24.70.1 --> 172.24.70.2 0 NO NO

Esto identifica una conexión concreta, entre una dirección local del router y un extremo (el resto de parámetros no se consideran). Definimos entonces una entrada en la Lista de Control de Acceso, con el identificador de esta conexión ( 1 ) como sentencia:

Extended Access List 100>entry 10 connection 1

j) ENTRY <id> DESCRIPTION

Permite establecer una descripción textual que nos permita más tarde entender mejor la finalidad o uso de la entrada. Sintaxis:

Extended Access List 1>entry <id> description ? <1..64 chars> Description text

Ejemplo: Extended Access List 100>entry 1 description “primera entrada” Extended Access List 100>

5.3. LIST

El comando LIST muestra la información de configuración de la Listas de Control de Acceso que está siendo editada, es decir, la que su identificador está indicado en el prompt del menú. Sintaxis:

Extended Access List #>list ? all-entries Display any entry of this access-list address-filter-entries Display the entries that match an ip address entry Display one entry of this access-list

a) LIST ALL-ENTRIES

Muestra todas las entrada de configuración de la Listas de Control de Acceso, es decir, toda la configuración de la misma. Sintaxis:

Extended Access List #>list all-entries

Ejemplo: Extended Access List 100>list all-entries Extended Access List 100, assigned to no protocol 1 PERMIT SRC=172.25.54.33/32 DES=192.34.0.0/16 Conn:0


II - 22 Doc.DM752

Rev.10.50

PROT=21 2 DENY SRC=0.0.0.0/0 DES=0.0.0.0/0 Conn:0 Extended Access List 100>

b) LIST ADDRESS-FILTER-ENTRIES

Muestra las entrada de configuración de la Listas de Control de Acceso que contienen una determinada dirección IP. Sintaxis:

Extended Access List #>list address-filter-entries <dirección> <subred>

Ejemplo: Extended Access List 100>list address-filter-entries 172.25.54.33 255.255.255.255 Extended Access List 100, assigned to no protocol 1 PERMIT SRC=172.25.54.33/32 DES=192.34.0.0/16 Conn:0 PROT=21 Extended Access List 100>

c) LIST ENTRY

Muestra una entrada de configuración de la Listas de Control de Acceso, cuyo identificador se indica a continuación del comando. Sintaxis:

Extended Access List #>list entry <id>

Ejemplo: Extended Access List 100>list entry 1 Extended Access List 100, assigned to no protocol 1 PERMIT SRC=172.25.54.33/32 DES=192.34.0.0/16 Conn:0 PROT=21 Extended Access List 100>

5.4. MOVE-ENTRY

Modifica la prioridad de una entrada. Esta opción permite colocar una entrada determinada delante de otra que se indica, dentro de la Lista de Control de Acceso. El comando se introduce, seguido del identificador de la entrada que se quiere modificar, y a continuación se introduce el identificador de la posición por delante de la cual se desea colocar la entrada. Cuando una entrada se quiere poner al final de lista, es decir, que se la de menor prioridad, se pone un cero (‘0’) como identificador final. Sintaxis:

Extended Access List #>move-entry <entrada_a_mover> <entrada_destino>

Ejemplo: Extended Access List 100>list all-entries Extended Access List 100, assigned to no protocol 1 PERMIT SRC=172.32.55.33/32 DES=172.33.44.32/32 Conn:0


II - 23 Doc.DM752

Rev.10.50

DPORT=1024-65535 2 PERMIT SRC=192.233.33.11/32 DES=0.0.0.0/0 Conn:0 PROT=33-102 3 DENY SRC=0.0.0.0/0 DES=0.0.0.0/0 Conn:0 Extended Access List 100>move-entry 1 0 Extended Access List 100>list all-entries Extended Access List 100, assigned to no protocol 2 PERMIT SRC=192.233.33.11/32 DES=0.0.0.0/0 Conn:0 PROT=33-102 3 DENY SRC=0.0.0.0/0 DES=0.0.0.0/0 Conn:0 1 PERMIT SRC=172.32.55.33/32 DES=172.33.44.32/32 Conn:0 DPORT=1024-65535 Extended Access List 100>

5.5. DESCRIPTION

Este comando se utiliza para insertar una descripción textual sobre la lista de acceso, que nos permita más tarde entender mejor su propósito o función. Sintaxis:

Extended Access List #>description ? <1..64 chars> Description text

Ejemplo: Extended Access List 1>description “lista para ipsec” Extended Access List 1>list all Extended Access List 100, assigned to no protocol Description: lista para ipsec 2 PERMIT SRC=192.233.33.11/32 DES=0.0.0.0/0 Conn:0 PROT=33-102 3 DENY SRC=0.0.0.0/0 DES=0.0.0.0/0 Conn:0 1 PERMIT SRC=172.32.55.33/32 DES=172.33.44.32/32 Conn:0 DPORT=1024-65535

5.6. NO

Este comando se utiliza para deshabilitar funcionalidades o para poner valores por defectos en algunos parámetros. Sintaxis:

Extended Access List #>no ? entry Configure an entry for this access-list

a) NO ENTRY

Elimina una entrada de la Lista de Control de Acceso. Se debe introducir el identificador de la lista que se desea eliminar.


II - 24 Doc.DM752

Rev.10.50

Sintaxis: Extended Access List #>no entry <id>

Ejemplo: Extended Access List 100>no entry 3 Extended Access List 100>

5.7. EXIT

Sale del entorno de configuración de una lista de Control de Acceso General. Retorna al prompt del menú principal de Control de Acceso. Sintaxis:

Extended Access List #>exit Ejemplo:

Extended Access List 100>exit Access Lists config>


II - 25 Doc.DM752

Rev.10.50

6. Show Config

Show Config es una herramienta de la consola de configuración (PROCESS 4), que permite listar los comandos necesarios para configurar el router a partir de una configuración vacía (no conf). Este comando se puede utilizar, tanto para copiar configuraciones, como para listarlas, o simplemente para visualizarlas. Show Config parte de la configuración definida internamente por defecto, generando los comandos de la parte de configuración que difiere de ésta. Show Config puede incorporar comentarios, que van después de punto y coma (‘;’). El comando se puede ejecutar desde cualquier menú, mostrando la configuración introducida en todos los submenús que cuelgan del actual. Ejemplo:

Access Lists config>show conf ; Showing Menu and Submenus Configuration ... ; C3G IPSec Router 1 29 Version 10.1.xPA access-list 1 ; entry 1 default entry 1 permit entry 1 source address 192.60.1.24 255.255.255.255 ; entry 2 default entry 2 permit ; exit ; access-list 100 ; entry 1 default entry 1 permit entry 1 source address 172.34.53.23 255.255.255.255 entry 1 protocol-range 10 255 ; entry 2 default entry 2 deny ; exit ; Access Lists config>

Con la lista de comandos obtenidos en el show config se puede copiar, editar, modificándola, de manera que puede servir como plantilla para posteriores configuraciones.


II - 26 Doc.DM752

Rev.10.50

7. Ejemplo práctico

Se trata de crear una nueva red privada virtual (VPN) entre el Host A y el Host B. El resto del tráfico entre las redes privadas se dejará pasar de modo normal. Crearemos un Túnel IPSec entre ambos Host. Para ello en primer lugar se debe crear la Lista de Control de Acceso que utilizará IPSec como filtro de tráfico. En este ejemplo solamente se muestra cómo se hace la configuración de las Listas de Acceso y la asociación del Túnel IPSec a la misma.

Red Pública

Router 2

Red Privada 2

HOST B172.60.1.163

Router 1

Red Privada 1

HOST A172.24.51.57

200.200.200.1 200.200.200.2

• Creación de las listas de control de acceso

La configuración que se debe introducir al Router 1 será:

Config>feature access-lists -- Access Lists user configuration -- Access Lists config>access-list 101 Extended Access List 101>entry 1 source address 172.24.51.57 255.255.255.255 Extended Access List 101>entry 1 destination address 172.60.1.163 255.255.255.255 Extended Access List 101>

La lista de acceso configurada queda por tanto:

Extended Access List 101>list all-entries Extended Access List 101, assigned to no protocol 1 PERMIT SRC=172.24.51.57/32 DES=172.60.1.163/32 Conn:0 Extended Access List 101>

Y con el comando SHOW CONFIG puede mostrarse la configuración y ser utilizada en otra ocasión introduciendo ésta en la consola tal y como aparece:


II - 27 Doc.DM752

Rev.10.50

Extended Access List 101>show conf ; Showing Menu and Submenus Configuration ... ; C3G IPSec Router 1 29 Version 10.1.xPA entry 1 default entry 1 permit entry 1 source address 172.24.51.57 255.255.255.255 entry 1 destination address 172.60.1.163 255.255.255.255 ; Extended Access List 101>

La configuración que se debe introducir al Router 2 será:

Config>feature access-lists -- Access Lists user configuration -- Access Lists config>access-list 101 Extended Access List 101>entry 1 source address 172.60.1.163 255.255.255.255 Extended Access List 101>entry 1 destination address 172.24.51.57 255.255.255.255 Extended Access List 101>

La lista de acceso configurada queda por tanto:

Extended Access List 101>list all-entries Extended Access List 101, assigned to no protocol 1 PERMIT SRC=172.60.1.163/32 DES=172.24.51.57/32 Conn:0 Extended Access List 101>


Extended Access List 101>show conf ; Showing Menu and Submenus Configuration ... ; C3G IPSec Router 1 29 Version 10.1.xPA entry 1 default entry 1 permit entry 1 source address 172.60.1.163 255.255.255.255 entry 1 destination address 172.24.51.57 255.255.255.255 ; Extended Access List 101>

• Asociación de Lista de acceso a Protocolo IPSec

Para completar las bases de datos de políticas de Seguridad (SPD) IPSec, es necesario “mapear” los elementos de la Lista de Control de Acceso a los Templates elegidos. En este caso la operación es la misma en los dos routers, debido a que en los dos routers se ha puesto la Lista de Control de Acceso con el mismo identificador (101).


II - 28 Doc.DM752

Rev.10.50

Config>p ip -- Internet protocol user configuration -- IP config>ipse -- IPSec user configuration -- IPSec config>assign-access-list 101 IPSec config>template 2 def IPSec config>map-template 101 2 IPSec config>


IPSec config>show conf ; Showing Menu and Submenus Configuration ... ; C3G IPSec Router 1 29 Version 10.1.xPA assign-access-list 101 ; template 2 default template 2 manual esp des md5 ; map-template 101 2 IPSec config>

Capítulo 3 Monitorización

ROUTER TELDAT – Control de acceso Monitorización

III - 30 Doc.DM752

Rev.10.50

1. Comandos de Monitorización

En esta sección se detallan los comandos que permiten utilizar las herramientas de monitor ización de la facilidad de Listas de Control de Acceso. Para poder introducir estos comandos es necesario acceder al prompt de monitorización de la facilidad de Listas de Acceso. Para acceder al entorno de monitorización de la facilidad de Listas de Acceso , se debe introducir el comando FEATURE ACCESS LIST en el prompt de monitorización general (+). Ejemplo:

+ feature access list -- Access Lists user console -- Access Lists>

El router dispone una caché que mantiene las últimas direcciones encontradas, con el fin de que el periodo de búsqueda dentro de las Lista de Acceso se minimice. En los listados se indica las entradas de cada Lista que están introducidas en la caché. Dentro del entorno de monitorización de la facilidad de Lista de Control de Acceso se dispone de los siguientes comandos: Comando Función ? (AYUDA) Lista los comandos u opciones disponibles. LIST Muestra la configuración de las listas de acceso. CLEAR-CACHE Borra todas las entradas en la caché de Listas de Acceso. SET-CACHE-SIZE Configura el número disponible de entradas de caché. SHOW-HANDLES Al listar presenta los manejadores asociados. HIDE-HANDLES Al listar oculta los manejadores asociados.

1.1. ? (AYUDA)


Access Lists>?

Ejemplo: Access Lists>? LIST CLEAR-CACHE SET-CACHE-SIZE SHOW-HANDLES HIDE-HANDLES EXIT Access Lists>


III - 31 Doc.DM752

Rev.10.50

1.2. LIST

El comando LIST muestra la información de configuración de la Listas de Control de Acceso que están activas. Como estadístico interesante, aparece el número de ocurrencias que se han dado en una entrada, es decir el número de veces que un paquete ha coincido con las sentencias de la entrada (Hits). El router dispone una caché que mantiene las últimas direcciones encontradas, con el fin de que el periodo de búsqueda dentro de las Lista de Acceso se minimice. En algunos listados se indican las entradas de cada Lista que están introducidas en la caché. Sintaxis:

Access Lists>list ? ALL CACHE ENTRIES

a) LIST ALL

Muestra todas las entradas de configuración de las Listas de Control de Acceso, es decir, toda la configuración de la misma. Se presentan las entradas configuradas y las que están dentro de la caché. Este comando debe ir seguido de otros que permiten especificar con más detalle la información a mostrar. Sintaxis:

Access Lists>list all ? ALL-ACCESS-LISTS ADDRESS-FILTER-ACCESS-LISTS ACCESS-LIST

• LIST ALL ALL-ACCESS-LISTS

Muestra todas las listas de control de acceso de la configuración activa. Se presentan las entradas configuradas y las que están dentro de la caché. Ejemplo:

Access Lists>list all all-access-lists Standard Access List 1, assigned to no protocol ACCESS LIST ENTRIES 3 PERMIT SRC=234.233.44.33/32 Hits: 0 1 DENY SRC=192.23.33.22/32 Hits: 0 Extended Access List 100, assigned to no protocol ACCESS LIST CACHE. Hits = 0, Miss = 0 Cache size: 32 entries, Promotion zone: 6 entries ACCESS LIST ENTRIES 1 PERMIT SRC=172.25.54.33/32 DES=192.34.0.0/16 Conn:0 PROT=21 Hits: 0 2 DENY SRC=0.0.0.0/0 DES=0.0.0.0/0 Conn:0 Hits: 0 3 PERMIT SRC=0.0.0.0/0 DES=0.0.0.0/0 Conn:33?


III - 32 Doc.DM752

Rev.10.50

PROT=21-44 SPORT=34-56 DPORT=2-4 Hits: 0 Extended Access List 101, assigned to IPSec ACCESS LIST CACHE. Hits = 0, Miss = 0 Cache size: 32 entries, Promotion zone: 6 entries ACCESS LIST ENTRIES 1 PERMIT SRC=172.24.51.57/32 DES=172.60.1.163/32 Conn:0 Hits: 0 2 PERMIT SRC=0.0.0.0/0 DES=0.0.0.0/0 Conn:0 Hits: 0 Extended Access List 103, assigned to no protocol ACCESS LIST CACHE. Hits = 0, Miss = 0 Cache size: 32 entries, Promotion zone: 6 entries ACCESS LIST ENTRIES 1 PERMIT SRC=1.0.0.0/8 DES=2.0.0.0/8 Conn:0 PROT=23-43 SPORT=23-45 DPORT=23-43 DSCP=0 Hits: 0 Access Lists>

• LIST ALL ADDRESS-FILTER-ACCESS-LISTS

Muestra todas entradas de las Listas de Control de Acceso que contienen la dirección IP y la máscara de subred que se incluye en el patrón de búsqueda que introduce a continuación del comando. También se presentan las listas que hay disponibles. Se presentan las entradas configuradas y las que están dentro de la caché Si la dirección IP y la máscara introducidas son 0.0.0.0 se listan todas las Lista de Acceso. Sintaxis:

Access Lists>list all address-filter-access-lists <direcciónIP> <subred> Ejemplo:

Access Lists>list all address-filter-access-lists 172.24.51.57 255.255.255.255 Standard Access List 1, assigned to no protocol ACCESS LIST ENTRIES Extended Access List 100, assigned to no protocol ACCESS LIST CACHE. Hits = 0, Miss = 0 Cache size: 32 entries, Promotion zone: 6 entries ACCESS LIST ENTRIES Extended Access List 101, assigned to IPSec ACCESS LIST CACHE. Hits = 0, Miss = 0 Cache size: 32 entries, Promotion zone: 6 entries ACCESS LIST ENTRIES 1 PERMIT SRC=172.24.51.57/32 DES=172.60.1.163/32 Conn:0 Hits: 0 Extended Access List 103, assigned to no protocol


III - 33 Doc.DM752

Rev.10.50

ACCESS LIST CACHE. Hits = 0, Miss = 0 Cache size: 32 entries, Promotion zone: 6 entries ACCESS LIST ENTRIES Access Lists>

• LIST ALL ACCESS-LIST

Muestra todas las entradas de una Lista de Control de Acceso. Sintaxis:

Access Lists>list all access-list <id> Ejemplo:

ACCESS-LIST Access Lists>list all access-list 100 Extended Access List 100, assigned to no protocol ACCESS LIST CACHE. Hits = 0, Miss = 0 Cache size: 32 entries, Promotion zone: 6 entries ACCESS LIST ENTRIES 1 PERMIT SRC=172.25.54.33/32 DES=192.34.0.0/16 Conn:0 PROT=21 Hits: 0 2 DENY SRC=0.0.0.0/0 DES=0.0.0.0/0 Conn:0 Hits: 0 3 PERMIT SRC=0.0.0.0/0 DES=0.0.0.0/0 Conn:33? PROT=21-44 SPORT=34-56 DPORT=2-4 Hits: 0 Access Lists>

b) LIST CACHE

Muestra todas las Listas de Control de Acceso configuradas, y dentro de cada una de ellas, muestra las entradas que están en la caché. Este comando debe ir seguido de otros que permiten especificar con más detalle la información a mostrar. Con este comando solamente se presenta la información de las entradas que están en la caché. Sintaxis:

Access Lists>list cache ? ALL-ACCESS-LISTS ADDRESS-FILTER-ACCESS-LISTS ACCESS-LIST

• LIST CACHE ALL-ACCESS-LISTS

Muestra todas las entradas de las Listas de Control de Acceso que están en la caché. Ejemplo:

Access Lists>list cache all-access-lists Standard Access List 1, assigned to no protocol Extended Access List 100, assigned to IPSec ACCESS LIST CACHE. Hits = 1, Miss = 0 Cache size: 32 entries, Promotion zone: 6 entries 1 PERMIT SRC=172.24.51.57/32 DES=172.60.1.163/32 Conn:0


III - 34 Doc.DM752

Rev.10.50

Hits: 1 Extended Access List 101, assigned to IPSec ACCESS LIST CACHE. Hits = 0, Miss = 0 Cache size: 32 entries, Promotion zone: 6 entries Extended Access List 103, assigned to no protocol ACCESS LIST CACHE. Hits = 0, Miss = 0 Cache size: 32 entries, Promotion zone: 6 entries Access Lists>

• LIST CACHE ADDRESS-FILTER-ACCESS-LISTS

Muestra todas las Listas de Control de Acceso configuradas, y dentro de cada una de ellas, muestra las entradas que están en la caché que contienen la dirección IP y la máscara de subred que se incluye en el patrón de búsqueda que introduce a continuación del comando. Este comando debe ir seguido de otros que permiten especificar con más detalle las Listas de Acceso a especificar. Si la dirección IP y la máscara introducidas son 0.0.0.0 se listan todas las Lista de Acceso. Sintaxis:

Access Lists>list cache address-filter-access-lists <direcciónIP> <subred> Ejemplo:

Access Lists>list cache address-filter-access-lists 172.24.51.57 255.255.255.255 Standard Access List 1, assigned to no protocol Extended Access List 100, assigned to no protocol ACCESS LIST CACHE. Hits = 2, Miss = 0 Cache size: 32 entries, Promotion zone: 6 entries 1 PERMIT SRC=172.25.54.33/32 DES=192.34.0.0/16 Conn:0 PROT=21 Hits: 2 Extended Access List 101, assigned to IPSec ACCESS LIST CACHE. Hits = 0, Miss = 0 Cache size: 32 entries, Promotion zone: 6 entries Extended Access List 103, assigned to no protocol ACCESS LIST CACHE. Hits = 0, Miss = 0 Cache size: 32 entries, Promotion zone: 6 entries Access Lists>

• LIST CACHE ACCESS-LIST

Muestra todas las entradas de una Lista de Control de Acceso que están en la caché. Sintaxis:

Access Lists>list cache access-list <id> Ejemplo:

Access Lists>list cache access-list 100 Extended Access List 100, assigned to no protocol


III - 35 Doc.DM752

Rev.10.50

ACCESS LIST CACHE. Hits = 0, Miss = 0 Cache size: 32 entries, Promotion zone: 6 entries 1 PERMIT SRC=172.25.54.33/32 DES=192.34.0.0/16 Conn:0 PROT=21 Hits: 2 Access Lists>

c) LIST ENTRIES

Muestra las entradas de las Listas de Control de Acceso que están en la configuración activa. Este comando debe ir seguido de otros que permiten especificar con más detalle la información a mostrar. Con este comando no se presenta la información de las entradas que están en la caché. Sintaxis:

Access Lists>list entries ? ALL-ACCESS-LISTS ADDRESS-FILTER-ACCESS-LISTS ACCESS-LIST

• LIST ENTRIES ALL-ACCESS-LISTS

Muestra todas las entradas de las Lista de Control de Acceso de la configuración activa. Ejemplo:

Access Lists>list entries all-access-lists Standard Access List 1, assigned to no protocol ACCESS LIST ENTRIES 3 PERMIT SRC=234.233.44.33/32 Hits: 0 1 DENY SRC=192.23.33.22/32 Hits: 0 Extended Access List 100, assigned to no protocol ACCESS LIST ENTRIES 1 PERMIT SRC=172.25.54.33/32 DES=192.34.0.0/16 Conn:0 PROT=21 Hits: 0 2 DENY SRC=0.0.0.0/0 DES=0.0.0.0/0 Conn:0 Hits: 0 3 PERMIT SRC=0.0.0.0/0 DES=0.0.0.0/0 Conn:33? PROT=21-44 SPORT=34-56 DPORT=2-4 Hits: 0 Extended Access List 101, assigned to IPSec ACCESS LIST ENTRIES 1 PERMIT SRC=172.24.51.57/32 DES=172.60.1.163/32 Conn:0 Hits: 0 2 PERMIT SRC=0.0.0.0/0 DES=0.0.0.0/0 Conn:0 Hits: 0 Extended Access List 103, assigned to no protocol ACCESS LIST ENTRIES 1 PERMIT SRC=1.0.0.0/8 DES=2.0.0.0/8 Conn:0


III - 36 Doc.DM752

Rev.10.50

PROT=23-43 SPORT=23-45 DPORT=23-43 DSCP=0 Hits: 0 Access Lists>

• LIST ENTRIES ADDRESS-FILTER-ACCESS-LISTS

Muestra todas las entradas de las Listas de Control de Acceso, de la configuración activa, que contienen la dirección IP y la máscara de subred que se incluye en el patrón de búsqueda, que se introduce a continuación del comando. Si la dirección IP y la máscara introducidas son 0.0.0.0 se listan todas las Lista de Acceso. Sintaxis:

Access Lists>list entries address-filter-access-lists <direcciónIP> <subred> Ejemplo:

Access Lists>list entries address-filter-access-lists 172.24.51.57 255.255.255.255 Standard Access List 1, assigned to no protocol ACCESS LIST ENTRIES Extended Access List 100, assigned to no protocol ACCESS LIST ENTRIES Extended Access List 101, assigned to IPSec ACCESS LIST ENTRIES 1 PERMIT SRC=172.24.51.57/32 DES=172.60.1.163/32 Conn:0 Hits: 0 Extended Access List 103, assigned to no protocol ACCESS LIST ENTRIES Access Lists>

• LIST ENTRIES ACCESS-LIST

Muestra todas las entradas de una Lista de Control de Acceso. Sintaxis:

Access Lists>list entries access-list <id> Ejemplo:

Access Lists>list entries access-list 100 Extended Access List 100, assigned to no protocol ACCESS LIST ENTRIES 1 PERMIT SRC=172.25.54.33/32 DES=192.34.0.0/16 Conn:0 PROT=21 Hits: 0 2 DENY SRC=0.0.0.0/0 DES=0.0.0.0/0 Conn:0 Hits: 0 3 PERMIT SRC=0.0.0.0/0 DES=0.0.0.0/0 Conn:33? PROT=21-44 SPORT=34-56 DPORT=2-4 Hits: 0 Access Lists>


III - 37 Doc.DM752

Rev.10.50

1.3. CLEAR-CACHE

Elimina todas las entradas de una Lista de Control de Acceso concreta de la caché que procesa las Listas de Control de Acceso. Sintaxis:

Access Lists>clear-cache <id> Ejemplo:

Access Lists>clear-cache 100 Cache cleared. Access Lists>

1.4. SET-CACHE-SIZE

Permite configurar el tamaño de la caché para una Lista de Control de Acceso. El tamaño está definido por el número de entradas que permite la caché. Sintaxis:

Access Lists>set-cache-size <id> <tamaño> Ejemplo:

Access Lists>set-cache-size 100 33 Cache cleared. Access Lists>

1.5. SHOW-HANDLES

Al introducir este comando, en entre los datos presentados con el comando LIST, aparece información para depuración en cada entrada.

1.6. HIDE-HANDLES

Al introducir este comando se deshabilita que, entre los datos presentados con el comando LIST, aparezca información para depuración en cada entrada.

Capítulo 4 Anexo

ROUTER TELDAT – Control de acceso Anexo

IV - 39 Doc.DM752

Rev.10.50

1. Puerto Reservados

En IP versión 4 (IPv4) [RFC791], hay un campo denominado “puerto”. El campo puerto consta de 16 bits. Los puertos son usados por TCP para nombrar los extremos de una conexión lógica en la cual se mantiene una conversación. Con el propósito de proporcionar servicios a llamantes desconocidos, se define un puerto de contacto para dicho servicio. Por ello, existe una lista que asigna números de puertos predeterminados a servicios concretos. Para posibles ampliaciones, esta misma asignación de puertos se utiliza con UDP. Los números de puertos están divididos en tres rangos: - Reservados (0-1023) - Registrados (1024-49151) - Dinámicos o privados (49152-65535)

La siguiente lista se muestran algunos de los Puertos Reservados más utilizado: Keyword Decimal Description ------- ------- ----------- ftp-data 20/tcp File Transfer [Default Data] ftp-data 20/udp File Transfer [Default Data] ftp 21/tcp File Transfer [Control] ftp 21/udp File Transfer [Control] telnet 23/tcp Telnet telnet 23/udp Telnet smtp 25/tcp Simple Mail Transfer smtp 25/udp Simple Mail Transfer nameserver 42/tcp Host Name Server nameserver 42/udp Host Name Server domain 53/tcp Domain Name Server domain 53/udp Domain Name Server tftp 69/tcp Trivial File Transfer tftp 69/udp Trivial File Transfer gopher 70/tcp Gopher gopher 70/udp Gopher http 80/tcp World Wide Web HTTP http 80/udp World Wide Web HTTP snmp 161/tcp SNMP snmp 161/udp SNMP snmptrap 162/tcp SNMPTRAP snmptrap 162/udp SNMPTRAP


IV - 40 Doc.DM752

Rev.10.50

2. Protocolos Reservados

En IP versión 4 (IPv4) [RFC791], hay un campo denominado protocolo, el cual identifica el siguiente nivel de protocolo. El campo protocolo consta de 8 bits. En IP versión 6 (IPv6) [RFC1883] este campo se denomina “Next Header”. Asignación de números de Protocolos de Internet: Decimal Keyword Protocol References ------- ------- -------- ---------- 0 HOPOPT IPv6 Hop-by-Hop Option [RFC1883] 1 ICMP Internet Control Message [RFC792] 2 IGMP Internet Group Management [RFC1112] 3 GGP Gateway-to-Gateway [RFC823] 4 IP IP in IP (encapsulation) [RFC2003] 5 ST Stream [RFC1190,RFC1819] 6 TCP Transmission Control [RFC793] 7 CBT CBT [Ballardie] 8 EGP Exterior Gateway Protocol [RFC888,DLM1] 9 IGP any private interior gateway [IANA] (used by Cisco for their IGRP) 10 BBN-RCC-MON BBN RCC Monitoring [SGC] 11 NVP-II Network Voice Protocol [RFC741,SC3] 12 PUP PUP [PUP,XEROX] 13 ARGUS ARGUS [RWS4] 14 EMCON EMCON [BN7] 15 XNET Cross Net Debugger [IEN158,JFH2] 16 CHAOS Chaos [NC3] 17 UDP User Datagram [RFC768,JBP] 18 MUX Multiplexing [IEN90,JBP] 19 DCN-MEAS DCN Measurement Subsystems [DLM1] 20 HMP Host Monitoring [RFC869,RH6] 21 PRM Packet Radio Measurement [ZSU] 22 XNS-IDP XEROX NS IDP [ETHERNET,XEROX] 23 TRUNK-1 Trunk-1 [BWB6] 24 TRUNK-2 Trunk-2 [BWB6] 25 LEAF-1 Leaf-1 [BWB6] 26 LEAF-2 Leaf-2 [BWB6] 27 RDP Reliable Data Protocol [RFC908,RH6] 28 IRTP Internet Reliable Transaction [RFC938,TXM] 29 ISO-TP4 ISO Transport Protocol Class 4 [RFC905,RC77] 30 NETBLT Bulk Data Transfer Protocol [RFC969,DDC1] 31 MFE-NSP MFE Network Services Protocol [MFENET,BCH2] 32 MERIT-INP MERIT Internodal Protocol [HWB] 33 SEP Sequential Exchange Protocol [JC120] 34 3PC Third Party Connect Protocol [SAF3] 35 IDPR Inter-Domain Policy Routing Protocol [MXS1] 36 XTP XTP [GXC] 37 DDP Datagram Delivery Protocol [WXC] 38 IDPR-CMTP IDPR Control Message Transport Proto [MXS1] 39 TP++ TP++ Transport Protocol [DXF] 40 IL IL Transport Protocol [Presotto] 41 IPv6 Ipv6 [Deering] 42 SDRP Source Demand Routing Protocol [DXE1] 43 IPv6-Route Routing Header for IPv6 [Deering] 44 IPv6-Frag Fragment Header for IPv6 [Deering] 45 IDRP Inter-Domain Routing Protocol [Sue Hares]


IV - 41 Doc.DM752

Rev.10.50

46 RSVP Reservation Protocol [Bob Braden] 47 GRE General Routing Encapsulation [Tony Li] 48 MHRP Mobile Host Routing Protocol [David Johnson] 49 BNA BNA [Gary Salamon] 50 ESP Encapsulating Security Payload [RFC1827] 51 AH Authentication Header [RFC1826] 52 I-NLSP Integrated Net Layer Security TUBA [GLENN] 53 SWIPE IP with Encryption [JI6] 54 NARP NBMA Address Resolution Protocol [RFC1735] 55 MOBILE IP Mobility [Perkins] 56 TLSP Transport Layer Security Protocol [Oberg] using Kryptonet key management 57 SKIP SKIP [Markson] 58 IPv6-ICMP ICMP for IPv6 [RFC1883] 59 IPv6-NoNxt No Next Header for IPv6 [RFC1883] 60 IPv6-Opts Destination Options for IPv6 [RFC1883] 61 any host internal protocol [IANA] 62 CFTP CFTP [CFTP,HCF2] 63 any local network [IANA] 64 SAT-EXPAK SATNET and Backroom EXPAK [SHB] 65 KRYPTOLAN Kryptolan [PXL1] 66 RVD MIT Remote Virtual Disk Protocol [MBG] 67 IPPC Internet Pluribus Packet Core [SHB] 68 any distributed file system [IANA] 69 SAT-MON SATNET Monitoring [SHB] 70 VISA VISA Protocol [GXT1] 71 IPCV Internet Packet Core Utility [SHB] 72 CPNX Computer Protocol Network Executive [DXM2] 73 CPHB Computer Protocol Heart Beat [DXM2] 74 WSN Wang Span Network [VXD] 75 PVP Packet Video Protocol [SC3] 76 BR-SAT-MON Backroom SATNET Monitoring [SHB] 77 SUN-ND SUN ND PROTOCOL-Temporary [WM3] 78 WB-MON WIDEBAND Monitoring [SHB] 79 WB-EXPAK WIDEBAND EXPAK [SHB] 80 ISO-IP ISO Internet Protocol [MTR] 81 VMTP VMTP [DRC3] 82 SECURE-VMTP SECURE-VMTP [DRC3] 83 VINES VINES [BXH] 84 TTP TTP [JXS] 85 NSFNET-IGP NSFNET-IGP [HWB] 86 DGP Dissimilar Gateway Protocol [DGP,ML109] 87 TCF TCF [GAL5] 88 EIGRP EIGRP [CISCO,GXS] 89 OSPFIGP OSPFIGP [RFC1583,JTM4] 90 Sprite-RPC Sprite RPC Protocol [SPRITE,BXW] 91 LARP Locus Address Resolution Protocol [BXH] 92 MTP Multicast Transport Protocol [SXA] 93 AX.25 AX.25 Frames [BK29] 94 IPIP IP-within-IP Encapsulation Protocol [JI6] 95 MICP Mobile Internetworking Control Pro. [JI6] 96 SCC-SP Semaphore Communications Sec. Pro. [HXH] 97 ETHERIP Ethernet-within-IP Encapsulation [RDH1] 98 ENCAP Encapsulation Header [RFC1241,RXB3] 99 any private encryption scheme [IANA] 100 GMTP GMTP [RXB5] 101 IFMP Ipsilon Flow Management Protocol [Hinden] 102 PNNI PNNI over IP [Callon] 103 PIM Protocol Independent Multicast [Farinacci]


IV - 42 Doc.DM752

Rev.10.50

104 ARIS ARIS [Feldman] 105 SCPS SCPS [Durst] 106 QNX QNX [Hunter] 107 A/N Active Networks [Braden] 108 IPComp IP Payload Compression Protocol [RFC2393] 109 SNP Sitara Networks Protocol [Sridhar] 110 Compaq-Peer Compaq Peer Protocol [Volpe] 111 IPX-in-IP IPX in IP [Lee] 112 VRRP Virtual Router Redundancy Protocol [Hinden] 113 PGM PGM Reliable Transport Protocol [Speakman] 114 any 0-hop protocol [IANA] 115 L2TP Layer Two Tunneling Protocol [Aboba] 116 DDX D-II Data Exchange (DDX) [Worley] 117 IATP Interactive Agent Transfer Protocol [Murphy] 118 STP Schedule Transfer Protocol [JMP] 119 SRP SpectraLink Radio Protocol [Hamilton] 120 UTI UTI [Lothberg] 121 SMP Simple Message Protocol [Ekblad] 122 SM SM [Crowcroft] 123 PTP Performance Transparency Protocol [Welzl] 124 ISIS over IPv4 [Przygienda] 125 FIRE [Partridge] 126 CRTP Combat Radio Transport Protocol [Sautter] 127 CRUDP Combat Radio User Datagram [Sautter] 128 SSCOPMCE [Waber] 129 IPLT [Hollbach] 130 SPS Secure Packet Shield [McIntosh] 131 PIPE Private IP Encapsulation within IP [Petri] 132 SCTP Stream Control Transmission Protocol [Stewart] 133 FC Fibre Channel [Rajagopal] 134 RSVP-E2E-IGNORE [RFC3175] 135-254 Unassigned [IANA] 255 Reserved [IANA]

dm752v10-5 control de acceso - upm...router teldat – control de acceso configuración ii - 4...

Documents